Перейти к содержанию
инструкция 3 июня 2027 По состоянию на 3 июня 2027

ПДн в командировочных авансовых отчётах

Авансовый отчёт командированного работника содержит персональные данные: ФИО, маршрут, даты поездки, реквизиты проездных и гостиничных документов. По ст. 3 ФЗ-152 это обработка ПДн, и оператор обязан соблюдать все требования закона.
С 01.09.2025 согласие работника оформляется отдельным документом (ФЗ-156 от 24.06.2025). Авансовый отчёт, вшитый в трудовой договор или общую форму, перестал быть надлежащим согласием. За нарушение — штраф до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы HRD и авансовые отчёты формируются без отдельного согласия — DATUM оценит риски и поможет привести документооборот в соответствие.

Командировочный документооборот — это обработка персональных данных, о которой многие HR-департаменты не задумываются системно. Авансовый отчёт фиксирует маршрут, гостиницу, номер паспорта на билете, дату рождения в электронном посадочном талоне. После вступления ФЗ-156 в силу с 01.09.2025 прежние схемы, где согласие включалось в трудовой договор или общий кадровый пакет, создают прямые основания для протокола РКН. В этой инструкции разберём, какие данные обрабатываются, как выстроить согласие, что изменилось в требованиях к хранению и как подготовиться к проверке.

Шаг 1. Определите, какие ПДн содержит авансовый отчёт

Авансовый отчёт (форма АО-1 или её аналог в КЭДО) содержит несколько категорий данных. Важно разграничить их, поскольку от категории зависит правовое основание обработки.

Идентификационные данные: ФИО работника, табельный номер, должность, подразделение. Правовое основание — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152) и соблюдение требований трудового законодательства (п. 2 ч. 1 ст. 6 ФЗ-152). Согласие не требуется.

Данные из проездных документов: серия и номер паспорта, дата рождения (в электронном билете), гражданство (в международных командировках). Паспортные данные — общие ПДн; дата рождения в контексте идентификации — тоже. Основание: исполнение обязанностей работодателя по ст. 168 ТК РФ — компенсация расходов на командировку. Согласие, как правило, не требуется, если объём данных соответствует цели.

Медицинские данные: если работник прикладывает справку о болезни в период командировки — это специальная категория ПДн по ст. 10 ФЗ-152. Обработка допустима только при наличии отдельного письменного согласия или в рамках трудового законодательства (п. 2.3 ч. 2 ст. 10 ФЗ-152). В командировочном документообороте такие данные желательно хранить отдельно от авансового отчёта.

«Ст. 5 ФЗ-152 устанавливает принцип соответствия объёма ПДн заявленным целям: оператор не вправе обрабатывать больше данных, чем необходимо для конкретной цели. Включение паспортных данных в общую базу командировочного учёта без отдельного регламента нарушает этот принцип.»

Практическая проверка: пройдитесь по форме авансового отчёта и проставьте напротив каждого поля правовое основание. Если основания нет — поле подлежит удалению или требует отдельного согласия.

Шаг 2. Проверьте согласие работника по требованиям ФЗ-156 с 01.09.2025

До 01.09.2025 многие компании включали согласие на обработку ПДн в трудовой договор или в общий кадровый пакет при приёме. С вступлением в силу ФЗ-156 от 24.06.2025 согласие должно быть оформлено отдельным документом — его нельзя объединять с договором, офертой или политикой конфиденциальности.

Для командировочного документооборота это означает следующее. Если при выплате аванса или при обработке отчёта компания получает данные, выходящие за рамки исполнения трудового договора (например, данные из загранпаспорта для визового оформления, копию медицинской страховки с диагнозами, биометрические данные системы контроля доступа в гостинице), — нужно отдельное согласие.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта должно быть выражено в виде отдельного документа. Обязательные реквизиты — ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва.»

Что нужно проверить HRD:

  • Есть ли у работника подписанное отдельное согласие, оформленное после 01.09.2025 (или действующее ранее, если оно уже было отдельным документом).
  • Перечислены ли в согласии все категории данных, которые реально обрабатываются в командировочном процессе: паспортные данные, данные билетов, данные о проживании.
  • Указана ли цель — «обработка данных для организации и учёта служебных командировок» — отдельно от иных целей кадрового учёта.

Ранее полученные согласия, которые уже были оформлены отдельными документами, переоформлять не требуется — ФЗ-156 обратной силы не имеет.

Согласия работников всё ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025, каждый документ — это основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽. Срок для переоформления не восстанавливается — нарушение фиксируется с момента обнаружения. Юристы DATUM проведут аудит кадровых согласий и соберут пакет ОРД по новым требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Настройте хранение и доступ к командировочным ПДн

Авансовые отчёты — бухгалтерские первичные документы, срок хранения которых по законодательству о бухгалтерском учёте составляет не менее 5 лет. Однако содержащиеся в них ПДн подпадают под требования ст. 21 ФЗ-152: хранить не дольше, чем необходимо для цели обработки. Как совместить эти требования?

Практическое решение: разграничить хранение финансового документа и персональных данных. Авансовый отчёт с ФИО, суммой и датами хранится 5 лет. Копии паспорта, билетов с паспортными данными — в отдельном регламенте с указанием срока (например, 3 года после закрытия командировки или до окончания срока исковой давности по налоговым спорам). Медицинские документы — отдельно, с минимальным сроком.

Права доступа: определите в локальном акте, кто имеет доступ к командировочным ПДн. Типовой круг: бухгалтер, ответственный за командировки HR-специалист, непосредственный руководитель работника. Доступ главного бухгалтера к паспортным данным всех сотрудников без ограничения — это избыточная обработка по ст. 5 ФЗ-152.

«Ст. 18.1 ФЗ-152 обязывает оператора принять локальные акты, определяющие порядок обработки ПДн. Отсутствие регламента по командировочному документообороту — это нарушение ч. 1 ст. 18.1, которое фиксирует инспектор РКН при плановой проверке.»

В КЭДО: если командировочные документы ведутся в системе электронного документооборота, убедитесь, что оператором КЭДО заключён договор поручения на обработку ПДн по п. 3 ст. 6 ФЗ-152. Без такого договора КЭДО-провайдер обрабатывает ПДн без правового основания.

Шаг 4. Учтите биометрию в командировочном процессе

Биометрические персональные данные в командировочном процессе возникают в нескольких точках. Первая — СКУД (система контроля и управления доступом) по месту основной работы: фиксация выхода и возвращения из командировки. Вторая — фото в корпоративном пропуске или в системе учёта рабочего времени, если она интегрирована с командировочным учётом.

По ст. 11 ФЗ-152 биометрические ПДн обрабатываются только с письменного согласия субъекта. Исключения — случаи, предусмотренные федеральными законами, в частности для обеспечения безопасности. Если СКУД использует распознавание лица — необходимо отдельное письменное согласие, не объединённое ни с чем.

«Ст. 11 ФЗ-152: биометрические ПДн (фотографическое изображение и иные физиологические данные, позволяющие установить личность) обрабатываются с письменного согласия субъекта. За нарушение — штраф по ч. 16 ст. 13.11 КоАП; повторное нарушение с биометрией — оборотный штраф по ч. 18 ст. 13.11.»

Типичная ошибка: сотрудник командирован в другой офис компании, там работает СКУД с распознаванием лица. Принимающая сторона фиксирует биометрию командированного без его согласия. Это нарушение оператора принимающей стороны; если юридически это одна компания — нарушение общее.

Что проверить: есть ли в пакете кадровых документов отдельное согласие на обработку биометрии в СКУД? Включены ли командированные сотрудники из других офисов в регламент получения такого согласия?

Что подготовить HRD для соответствия по командировочным ПДн

  • Отдельное согласие работника на обработку ПДн в командировочном процессе по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — с перечнем данных и цели.
  • Локальный акт о порядке обработки командировочных ПДн: кто имеет доступ, сроки хранения по категориям документов, порядок уничтожения.
  • Договор поручения обработки ПДн с КЭДО-провайдером (п. 3 ст. 6 ФЗ-152), если командировочный документооборот ведётся в электронной системе.
  • Отдельное письменное согласие на обработку биометрии (если СКУД использует распознавание лица или отпечатки) по ст. 11 ФЗ-152.
  • Регламент обработки специальных категорий ПДн (медицинские документы), если они поступают в составе командировочного отчёта.

Как это применяется на практике: типовые ситуации

Ситуация 1. Международная командировка, данные загранпаспорта. Работник выезжает в Беларусь; бухгалтерия сканирует разворот загранпаспорта для авансового отчёта и хранит скан в общей папке на сервере без ограничения доступа. Данные загранпаспорта — общие ПДн, но их хранение в открытой папке нарушает принцип ограничения доступа (ст. 18.1 ФЗ-152) и требования к техническим мерам защиты (ст. 19 ФЗ-152). Доказательство нарушения при проверке — скриншот прав доступа. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП, штраф 150–300 тыс. ₽. Стратегия: закрыть доступ, ввести регламент, получить обновлённое согласие с указанием цели — хранение реквизитов проездного документа.

Ситуация 2. КЭДО без договора поручения. Компания внедрила КЭДО-сервис, командировочные авансовые отчёты оформляются через него. Договор с провайдером — лицензионный, без условия о поручении обработки ПДн. Работники не давали провайдеру согласия. По п. 3 ст. 6 ФЗ-152 передача ПДн на обработку третьему лицу допустима только на основании договора, содержащего перечень действий, цели и условие конфиденциальности. Без такого договора — нарушение ч. 1 ст. 13.11 КоАП. Стратегия: заключить дополнительное соглашение с КЭДО-провайдером о поручении обработки либо перейти к провайдеру, у которого такой договор включён в стандартный пакет.

Ситуация 3. Согласие включено в приказ о командировании. HR включает в приказ о направлении в командировку фразу: «Работник согласен на обработку ПДн для целей организации командировки». После 01.09.2025 это не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом. Приказ — организационно-распорядительный документ работодателя, а не отдельное согласие субъекта. Вероятный исход при проверке: протокол по ч. 2 ст. 13.11 КоАП, штраф до 700 тыс. ₽. Стратегия: разработать форму отдельного согласия для командировочного процесса и подписывать её при каждой первой командировке или обновить при изменении целей обработки.

Если HRD обнаружил, что согласия на обработку ПДн в командировочном процессе не оформлены отдельными документами — это нарушение ФЗ-156, которое фиксируется с момента обнаружения. Юристы DATUM соберут пакет ОРД под ключ и подготовят формы согласий по новым требованиям.

Собрать ОРД под ключ

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, если согласие уже было оформлено отдельным документом до 01.09.2025 — переоформлять его не нужно, ФЗ-156 обратной силы не имеет. Переоформление требуется, если согласие было включено в трудовой договор, приказ, политику конфиденциальности или иной документ — в этих случаях оно не соответствует требованиям ст. 9 ФЗ-152 в действующей редакции. Для командировочного процесса отдельно оцените, покрывает ли имеющееся согласие все данные, которые реально обрабатываются: паспортные реквизиты, биометрия СКУД, медицинские документы.

2. Какие данные нельзя спрашивать в анкете при оформлении командировки?

Работодатель не вправе запрашивать данные, не связанные с целью командировки: религиозные убеждения, политические взгляды, информацию о хронических заболеваниях (кроме случаев, когда это необходимо для оценки профпригодности по медицинским показаниям). Ст. 86 ТК РФ ограничивает круг данных о работнике теми, которые нужны для выполнения трудовых обязанностей и в объёме, необходимом для трудовых отношений. Требовать копию паспорта супруга/детей для оформления командировки также нет правовых оснований.

3. Можно ли вести видеонаблюдение в офисе и использовать записи в командировочном учёте?

Видеозапись — это биометрические ПДн (изображение лица), обработка которых по ст. 11 ФЗ-152 требует письменного согласия работника. Исключение — случаи, предусмотренные федеральным законом (например, в рамках оперативно-розыскной деятельности). Для использования в командировочном учёте (фиксация факта прихода/ухода) необходимо: уведомить работника о видеонаблюдении, получить согласие, ввести регламент хранения и уничтожения записей. Использовать записи для иных целей — дисциплинарных взысканий, анализа поведения — без отдельного согласия нельзя.

4. Сколько хранить согласия после увольнения?

Согласие на обработку ПДн после увольнения работника хранится не менее 3 лет с момента прекращения обработки — это срок исковой давности по трудовым спорам. Личное дело хранится 75 лет (для документов, оформленных до 2003 года) или 50 лет (после 2003 года) по Приказу Росархива. Согласие, будучи частью кадрового документооборота, целесообразно хранить вместе с личным делом, но доступ к нему должен быть ограничен после увольнения по принципу необходимости.

5. Кто оператор при использовании КЭДО?

Оператором ПДн остаётся работодатель — именно он определяет цели и состав обработки. КЭДО-провайдер выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Это означает: провайдер обязан соблюдать конфиденциальность, не передавать данные третьим лицам, уничтожить данные после расторжения договора. Всё это должно быть закреплено в договоре — иначе передача данных провайдеру считается передачей без правового основания, что влечёт штраф по ч. 1 ст. 13.11 КоАП.

6. Как проверить, соответствует ли наш авансовый отчёт 152-ФЗ прямо сейчас?

Пройдите по форме: выпишите каждое поле, укажите правовое основание из ст. 6 или ст. 10 ФЗ-152. Если поле невозможно обосновать — оно избыточно. Проверьте, есть ли на каждого работника отдельное согласие на командировочные данные, оформленное после 01.09.2025 или ранее как отдельный документ. Убедитесь, что в договоре с КЭДО-провайдером есть раздел о поручении обработки. Если хотя бы один пункт не закрыт — риск штрафа по ст. 13.11 КоАП существует.

Итог

Авансовые отчёты командированных сотрудников — это обработка персональных данных с несколькими правовыми основаниями и рисками. Ключевые точки контроля: соответствие согласий требованиям ФЗ-156 с 01.09.2025, разграничение доступа к документам, договор поручения с КЭДО-провайдером и отдельные согласия на биометрию в СКУД. Нарушения по каждому из этих направлений фиксируются независимо и суммируются при проверке РКН.

Практика DATUM охватывает HR-документооборот в части 152-ФЗ с момента первого трудового договора до уничтожения ПДн после увольнения — включая командировочный цикл, КЭДО и биометрические системы доступа.

Услуги DATUM по теме

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

3 июня 2027 года